Tech Knowledge

Cloud sovereignty : เมื่อความปลอดภัยของข้อมูลกลายเป็นหัวใจหลักของการเลือกใช้คลาวด์

Published : February 7, 2024Time : 4 min read

ไม่นานมานี้ ประเด็นหนึ่งที่กลายมาเป็นกระแสในแวดวงเทคโนโลยีคลาวด์โลกก็คือความปลอดภัยของข้อมูล ที่ไม่ใช่เพียงความปลอดภัยจากการล่มหรือการสูญหาย แต่ได้ขยายอาณาเขตไปถึงความปลอดภัยจากการเข้าถึงและมีอำนาจเหนือข้อมูลขององค์กรต่างชาติ หรือที่รู้จักกันในชื่อ ‘cloud sovereignty’ กล่าวคือ ก่อนหน้านี้ global cloud มักเป็นตัวเลือกหลักขององค์กรต่าง ๆ ในการใช้เทคโนโลยีคลาวด์ ทั้งการประมวลผล (computing) และการจัดเก็บข้อมูล (storage) เนื่องจากมีชื่อเสียง มีความน่าเชื่อถือ มีผู้ใช้งานทั่วโลก มีฟีเจอร์ที่หลากหลายครบครัน ฯลฯ ข้อมูลจึงโอนย้ายข้ามทวีปได้อย่างอิสระ ซึ่งหมายถึงการเปลี่ยนแปลงภูมิทัศน์ทางดิจิทัลที่ข้อมูลสามารถจัดเก็บ ประมวลผล และเข้าถึงจากที่ไหนก็ได้บนโลก

อย่างไรก็ตาม เมื่อข้อมูลย้ายมาอยู่บนคลาวด์เพิ่มมากขึ้น ความเสี่ยงในการถูกเข้าถึงข้อมูลก็เพิ่มมากขึ้นไปด้วย โดยเฉพาะอย่างยิ่ง การถูกเข้าถึงโดยผู้ให้บริการคลาวด์ที่ถือข้อมูลทั้งหมดขององค์กร ซึ่งหน่วยงานที่ตระหนักรู้ประเด็นนี้ก่อนคือหน่วยงานภาครัฐที่ดูแลข้อมูลส่วนบุคคลของประชาชนในประเทศ เพราะอาจจะส่งผลเสียต่อความมั่นคงของประเทศได้ในอนาคต องค์กรที่เกี่ยวข้องจึงต้องเร่งแก้ไขปัญหานี้ด้วยการออกข้อบังคับในการจำกัดอำนาจเหนือข้อมูลเหล่านี้ บทความนี้จะพาคุณย้อนไปยังจุดเริ่มต้นของแนวคิด data sovereignty เพื่อทำความเข้าใจเกี่ยวกับประเด็นดังกล่าวให้มากขึ้น

จุดเริ่มต้นแนวคิด data sovereignty

EU-US : ข้อขัดแย้งด้าน transatlantic data flow

Data sovereignty เริ่มต้นมาจากการพยายามควบคุมข้อมูลของสหภาพยุโรปที่ไหลข้ามมหาสมุทรแอตแลนติก (transatlantic data flow) ไปยังผู้ให้บริการคลาวด์ที่อยู่ในสหรัฐอเมริกา Deloitte เครือข่ายองค์กรผู้ให้บริการ professional service ที่ใหญ่ที่สุดในโลก และหนึ่งในบริษัทบัญชีบิ๊กโฟร์ ได้เผยแพร่บทความเรื่อง cloud sovereignty และสรุปประวัติศาสตร์การเปลี่ยนแปลงข้อบังคับอำนาจเหนือข้อมูลนี้ไว้อย่างชัดแจ้ง ข้อบังคับเริ่มมาจากข้อตกลงเกี่ยวกับการโอนข้อมูลข้ามประเทศ (Safe Harbour Agreement) ในปี ค.ศ. 2000 ที่ทำหน้าที่วางกรอบการทำงานที่รับรองว่าบริษัทในสหรัฐอเมริกาสามารถถ่ายโอนข้อมูลส่วนบุคคลจากสหภาพยุโรปไปยังสหรัฐอเมริกาได้ ในขณะที่ยังคงรักษามาตรฐานการปกป้องข้อมูลของสหภาพยุโรปด้วยเช่นกัน

แต่ภายหลังการเปิดโปงการสอดส่องดูแลมวลชนลับสุดยอดของสำนักงานความมั่นคงแห่งชาติของสหรัฐอเมริกา (National Security Agency : NSA) ในปี ค.ศ. 2013 โดยเอ็ดเวิร์ด สโนว์เดน อดีตนักวิเคราะห์ข่าวกรองชาวอเมริกัน ได้จุดชนวนให้เกิดความกังวลเกี่ยวกับความเป็นส่วนตัวของข้อมูลและการสอดแนมของรัฐบาลในทั่วโลก และจุดประกายการอภิปรายเรื่อง data sovereignty อีกครั้งหนึ่ง

ในปี ค.ศ. 2015 ศาลยุติธรรมแห่งยุโรปจึงได้ตัดสินให้ข้อตกลงเกี่ยวกับการโอนข้อมูลข้ามประเทศระหว่างยุโรปและสหรัฐฯ เป็นโมฆะ เนื่องจากกังวลว่ากฎหมายสอดแนมของสหรัฐฯ จะบ่อนทำลายสิทธิความเป็นส่วนตัวของยุโรป แต่หลังจากนั้นเพียงหนึ่งปี ค.ศ. 2016 ยุโรปและสหรัฐฯ ก็ได้มีการเจรจาเรื่องกรอบการถ่ายโอนข้อมูลใหม่ และได้ออกการคุ้มครองความเป็นส่วนตัวระหว่างสหภาพยุโรปและสหรัฐอเมริกา (EU-US Privacy Shield) เพื่อแก้ไขข้อบกพร่องของข้อตกลง Safe Harbour และจัดเตรียมกลไกใหม่สำหรับการถ่ายโอนข้อมูลข้ามมหาสมุทรแอตแลนติก

ยิ่งไปกว่านั้น ในปีเดียวกันนี้เอง สหภาพยุโรปเปิดตัวกฎระเบียบคุ้มครองข้อมูลทั่วไป (General Data Protection Regulation : GDPR) ซึ่งวางกฎระเบียบที่เข้มงวดเกี่ยวกับการถ่ายโอนข้อมูลนอกสหภาพยุโรป โดยกำหนดให้บริษัทต่าง ๆ ตรวจสอบให้แน่ใจว่าข้อมูลส่วนบุคคลของสหภาพยุโรปได้รับการประมวลผลตามมาตรการป้องกันที่เหมาะสมหรือไม่ และหลังจากนั้น ในปี ค.ศ. 2018 ฝั่งสหรัฐฯ ก็ได้ออกพระราชบัญญัติคำชี้แจงการใช้ข้อมูลในต่างประเทศโดยชอบด้วยกฎหมาย (Clarifying Lawful Overseas Use of Data Act : CLOUD Act) ซึ่งอนุญาตให้หน่วยงานบังคับใช้กฎหมายของสหรัฐอเมริกาสามารถขอข้อมูลส่วนบุคคลที่บริษัทเทคโนโลยีจัดเก็บไว้เพื่อวัตถุประสงค์ในการบังคับใช้กฎหมายที่เลือกได้ ไม่ว่าข้อมูลนี้จะอยู่ที่ใดก็ตาม

ต่อมาในปี ค.ศ. 2020 ศาลยุติธรรมแห่งยุโรปก็ได้มีคำสั่งตัดสินให้ EU-US Privacy Shield ที่ประกาศใช้ในปี ค.ศ. 2016 เป็นโมฆะ เนื่องจากข้อกังวลเกี่ยวกับกฎหมายสอดแนมของสหรัฐอเมริกา และการคุ้มครองข้อมูลของพลเมืองชาวยุโรปของสหรัฐอเมริกาที่ไม่เพียงพอ นับเป็นครั้งที่สองที่ศาลตัดสินให้ข้อบังคับในเรื่องเดียวกันเป็นโมฆะ และเพื่อแก้ปัญหาดังกล่าวต่อไป ในปี ค.ศ. 2023 ผู้นำสหรัฐฯ และยุโรปได้ประชุมเพื่อวางกรอบความเป็นส่วนตัวของข้อมูลในสหภาพยุโรปและสหรัฐอเมริกา (EU-US Privacy Framework) เพื่อแทนที่ EU-US Privacy Shield ประกอบไปด้วย กลไกการแก้ไขปรับปรุงใหม่ และศาลพิจารณาการคุ้มครองข้อมูล (Data Protection Review Court) ซึ่งมีหน้าที่เกี่ยวข้องกับการรับส่งข้อมูลข้ามมหาสมุทรแอตแลนติกโดยตรง

ภาพไทม์ไลน์ EU-US transatlantic data flow conflicts

ทั้งหมดนี้เป็นเหตุการณ์ที่เกิดขึ้นในช่วงปี ค.ศ. 2000-2023 เพียง 23 ปี เราก็ได้เห็นการตื่นตัวเรื่องอำนาจสูงสุดของข้อมูลมากมายจากประเทศมหาอำนาจอย่างสหรัฐอเมริกาและยุโรป ซึ่งระหว่างนั้น กระแสการตระหนักรู้ดังกล่าวก็แพร่กระจายไปยังหลายประเทศทั่วโลก จนรัฐบาลประเทศต่าง ๆ ได้เริ่มออกข้อบังคับที่ใช้ในการควบคุมอำนาจเหนือข้อมูลที่แตกต่างกันออกไป ตัวอย่างเช่น

รัสเซีย

รัสเซียเป็นหนึ่งในประเทศอันดับแรก ๆ ที่มีการปรับตัวและออกข้อบังคับการมีอำนาจสูงสุดเหนือข้อมูล และเป็นประเทศที่มีข้อบังคับที่เข้มงวดที่สุด นั่นคือ กฎหมายของรัฐบาลกลางหมายเลข 242-FZ (Federal Law No. 242-FZ) ที่กำหนดให้ข้อมูลส่วนบุคคลของพลเมืองรัสเซียเก็บไว้ภายในขอบเขตของประเทศ กฎหมายดังกล่าวก่อให้เกิดผลกระทบอย่างกว้างขวางต่อบริษัทและแบรนด์ระดับโลก ตัวอย่างเช่น ปี ค.ศ. 2016 เป็นต้นมา LinkedIn ถูกจำกัดการเข้าถึงในรัสเซีย อันเป็นผลมาจากกฎหมายการปรับให้เข้ากับพื้นที่นี้เอง

จีน

ปี ค.ศ. 2017 จีนได้ออกกฎหมายความปลอดภัยทางไซเบอร์ของจีน (Chinese Cybersecurity Law) ที่กำหนดให้ “ผู้ดำเนินการโครงสร้างพื้นฐานทางข้อมูลที่สำคัญ” (critical information infrastructure operator) จัดเก็บข้อมูลส่วนบุคคลและข้อมูลสำคัญทางธุรกิจที่ถูกรวบรวมหรือผลิตภายในอาณาเขตจีนไว้ในประเทศจีนเท่านั้น นับตั้งแต่นั้นเป็นต้นมา จีนได้รวมจุดยืนของตัวเองในด้านการปรับให้เข้ากับพื้นที่กับกฎหมายความปลอดภัยของข้อมูล (Data Security Law) และกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Protection Law) ที่ออกในปี ค.ศ. 2021 ซึ่งบังคับให้จำแนกประเภทของข้อมูลและควบคุมการถ่ายโอนระหว่างประเทศ โดยขึ้นอยู่กับการจำแนกประเภทดังกล่าว

ซาอุดีอาระเบีย

ปี ค.ศ. 2018 ซาอุดีอาระเบียได้ออกกรอบการกำกับดูแลการประมวลผลบนคลาวด์ (Cloud Computing Regulatory Framework : CCRF) ซึ่งระบุเงื่อนไขอำนาจสูงสุดให้กับผู้ให้บริการคลาวด์โดยเฉพาะเจาะจง และบังคับให้จัดเก็บข้อมูลบางประเภทเท่านั้น และหลังจากนั้น ซาอุดีอาระเบียก็ได้ออกกฎหมายคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Law) ในปี ค.ศ. 2021 ที่ให้พลเมืองถ่ายโอนข้อมูลไปยังต่างประเทศได้ภายใต้เงื่อนไขที่จำกัดเท่านั้น

ไทย

ด้วยกระแสของการควบคุมอำนาจเหนือข้อมูลข้ามประเทศ สำนักเลขาธิการนายกรัฐมนตรีจึงได้ออกพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. ๒๕๖๒ (Personal Data Protection Act B.E. 2562 (2019) : PDPA) และจัดตั้งคณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (Personal Data Protection Committee : PDPC) ขึ้นมาดูแล โดยมีต้นแบบจาก GDPR ของสหภาพยุโรป เพื่อควบคุมอำนาจเหนือข้อมูลส่วนบุคคลที่จัดเก็บและประมวลผลในองค์กรที่ดำเนินการภายในราชอาณาจักรไทย ว่าจะต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนเสมอ อย่างไรก็ตาม พระราชบัญญัติฯ อาจยังไม่มีความเข้มงวดเทียบเท่ากับ GDPR เท่าไหร่นัก เช่น บทลงโทษ เงื่อนไขการมีผลของกฎหมาย รวมไปถึงความเข้าใจขององค์กรและประชาชนใน พ.ร.บ.ดังกล่าว เป็นต้น

Sovereign cloud : แสงปลายอุโมงค์ของการเลือกใช้คลาวด์ในอนาคต

ประเด็นเรื่อง data sovereignty ที่กล่าวมาข้างต้นนั้นไม่เพียงส่งผลกระทบต่อผู้ใช้บริการคลาวด์ ที่อาจจะต้องพิจารณาไตร่ตรองการเลือกใช้คลาวด์ให้มากขึ้นเนื่องจากเงื่อนไขด้านความปลอดภัยของข้อมูลที่เพิ่มเข้ามา แต่ยังส่งผลกระทบอย่างใหญ่หลวงต่อผู้ให้บริการคลาวด์เช่นเดียวกัน โดยเฉพาะผู้ให้บริการคลาวด์ระดับ hyperscaler ที่มีการขยายขอบเขตการให้บริการไปยังประเทศต่าง ๆ ทั่วโลก กลุ่มผู้ให้บริการคลาวด์เหล่านี้จำเป็นต้องปฏิบัติตามข้อบังคับในแต่ละท้องที่ หรือที่เรียกว่ากระบวนการปรับให้เข้ากับพื้นที่ (localization) ซึ่งก็มีความยิบย่อยและแตกต่างกันในรายละเอียด และหากผู้ให้บริการคลาวด์กลุ่มดังกล่าวไม่ปฏิบัติตามข้อบังคับ ก็อาจส่งผลต่อการให้บริการคลาวด์และข้อมูลขององค์กรที่ประมวลผลอยู่ด้วย ดังนั้น จึงเป็นความท้าทายอันใหญ่หลวงของผู้ให้บริการคลาวด์ระดับโลกที่จะต้องรับมือกับ data sovereignty อย่างแท้จริง

ในเวลาเดียวกันนี้เอง local cloud ก็ได้ถือกำเนิดขึ้นมากมายทั่วโลก รวมถึงประเทศไทยด้วย คลาวด์เหล่านี้ได้พัฒนาคุณภาพโปรดักต์ให้เทียบเท่ากับ hyperscaler และพัฒนาฟีเจอร์ให้ตอบโจทย์การใช้บริการมากมาย ยิ่งไปกว่านั้น ด้วยความที่เป็นคลาวด์ที่มีศูนย์ปฏิบัติการอยู่ภายในประเทศใดประเทศหนึ่ง จึงรับประกันได้ว่าจะปฏิบัติตามข้อบังคับด้านอำนาจสูงสุดเหนือข้อมูลอย่างแน่นอน เหมาะสำหรับหน่วยงานภาครัฐที่ต้องกำกับดูแลข้อมูลส่วนบุคคลของประชาชนภายในประเทศ และองค์กรธุรกิจที่ต้องการจัดเก็บและประมวลผลภายในประเทศ และไม่ต้องการให้องค์กรต่างชาติเข้ามามีอำนาจเหนือข้อมูลของตนเอง

NIPA Cloud : Thai Sovereign Cloud แห่งแรกและแห่งเดียวเพื่อธุรกิจไทย

NIPA Cloud ผู้ให้บริการคลาวด์ที่พัฒนาโปรดักต์และฟีเจอร์ให้ตอบโจทย์การใช้งานองค์กรธุรกิจไทยมากที่สุด เข้าใจถึงข้อกังวลที่ก่อให้เกิดข้อบังคับทั่วโลกดังกล่าว พร้อมแล้วที่จะให้บริการคลาวด์ที่ปลอดภัยที่สุดในไทย คนไทยมีอำนาจสูงสุดเหนือข้อมูล และปราศจากการเข้าแทรกแซงหรือมีอำนาจเหนือข้อมูลจากต่างชาติ ด้วยการวิจัยและพัฒนาคลาวด์มาเป็นเวลากว่า 7 ปี, multi-site Availability Zone ถึง 3 แห่ง (กรุงเทพฯ นนทบุรี และขอนแก่น), การรับรองมาตรฐานสากล, ลูกค้ามากมายที่ไว้วางใจใช้บริการ และที่สำคัญที่สุด การปฏิบัติตาม PDPA อย่างเคร่งครัดนั้น ทำให้ NIPA Cloud เป็นผู้บริการหนึ่งเดียวในไทยที่ให้บริการ Thai sovereign cloud กับองค์กรธุรกิจไทยได้อย่างแท้จริง

คลาวด์นี้แหละที่เปลี่ยน | เปลี่ยนมาใช้ Thai Sovereign Cloud เพื่อความปลอดภัยของข้อมูลทางธุรกิจ
AUTHOR
Author
Sorawit Pakdeeasa
Content Writer

A passive(-aggressive) learner & a ramyeon lover